La Generalitat concluye que el Clínic no tenía medidas de seguridad “mínimas” para contener el ciberataque de 2023

El hospital Clínic de Barcelona no tenía medidas de seguridad para una “prevención mínima” contra los ciberataques y no realizó un análisis de riesgo necesario para definir las medidas de seguridad aplicables al tratamiento de datos personales. Esta es la conclusión a la que ha llegado la Autoridad Catalana de Protección de Datos (Apdcat) tras investigar la macrofiltración de datos que sufrió el centro sanitario en el ciberataque sufrido en marzo de 2023.

“Una vez realizadas todas las investigaciones, la Agencia le atribuye el incumplimiento de sus obligaciones como responsable y encargado del tratamiento de datos”, concluye la resolución de la entidad pública, publicada en su portal. La Autoridad, entidad independiente y pública, requiere al Clínic que adopte “medidas correctoras” y las acredite para cumplirlas; algo que ya viene ocurriendo.

El 5 de marzo de 2023, el Clínic detectó un ataque con software de secuestro (conocido como ransomware) que afectaba a sus sistemas de información y a las de sus entidades vinculadas: el Consorcio de Atención Primaria de Salud Barcelona Esquerra (CAPSBE); la Fundación de Investigación Clínic Barcelona-Instituto de Investigaciones Biomédicas August Pi y Sunyer (FRCB-IDIBAPS) y Barnaclínic, el ala privada del centro.

El robo sustrajo 4,5 terabytes de información confidencial. El grupo criminal publicó primero en la dark web una parte de la información y pidió más de cuatro millones de euros para evitar una filtración masiva, que se realizó definitivamente al cabo de cuatro meses. La información expuso datos identificativos y asistenciales, datos personales de los trabajadores y datos personales de proveedores, principalmente. Durante los primeros días posteriores al ataque, el hospital tuvo que desprogramar cirugías y visitas; y realizó el seguimiento de los pacientes a mano.

La Apdcat inició a finales de abril de 2023 una actuación de oficio ante el robo de una información considerada muy sensible por ser del ámbito sanitario; y durante todo este tiempo ha evaluado si las entidades afectadas cometieron infracciones cometidas en el marco de la normativa de protección de datos y la responsabilidad que les correspondía. “Antes de sufrir el ciberataque, el Hospital Clínic no tenía implementadas las medidas de seguridad de prevención, detección y contención (...) esenciales para una prevención mínima frente a los ciberataques y una reacción adecuada en caso de incidente”, subraya el documento.

Mientras que la entidad resuelve que el Clínic incumplió en sus obligaciones como responsable y encargado del tratamiento de datos; considera que las otras entidades implicadas tampoco “adoptaron las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento”. La sanción no es económica para el Clínic, al ser una entidad pública; pero sí para Barnaclínic, que ha impugnado la resolución.